在经历了两年的发布缓冲期后,2018 年 5 月 25 日起,用来取回公民以及住民对个人资料的控制,以及简化欧盟国际商务统一规范的隐私保护法规 GDPR(《General Data Protection Regulation》一般数据保护条例)将会在欧盟成员国及欧洲经济区内正式启用执行。但这里先不对它的具体内容进行过多赘述,简单概括的话,它将会为适用成员带来以下几个重要改变:

  • 收集主体(企业、组织或者个人开发者)必须明确询问用户是否允许可以被收集数据,不得以任何方式默认用户授予数据使用许可,且必须经过用户同意后才可以使用用户数据(具体案例可参见 「支付宝年度账单事件」);
  • 用户有权查看被收集和使用的数据及其用途,并且可以选择删除这些数据。即使此前同意对收集主体进行许可授权,用户依然有权进行许可撤回,且收集主体不得继续进行收集行为(具体案例可参见 「Facebook 剑桥分析丑闻」);
  • 如果用户不同意数据的授权使用,收集主体必须将用户的数据进行 「匿名化」 处理,即无法通过处理后的数据追踪或者判定到明确的信息主体。

作为史上最严,覆盖规模最大的隐私保护法规,GDPR 不仅对欧盟组织地区的成员起到影响,就算收集主体不在上述地区之内,所有涉及对欧盟组织地区住民的数据处理行为也都必须被纳入该法规的监管。换句话说,假如某软件开发商是火星人,但他开发的软件面向欧盟组织地区的用户使用并会涉及到用户的信息数据收集,那么这位火星的开发者依然要受到 GDPR 的管控。所以我们可以看到最近全球范围内互联网公司的一系列调整举措。然而,尽管 GDPR 并不是对全球互联网用户适用且后续成效还有待商榷(目前我们还无法预知它会被怎样钻空子),它却也在另一个角度为我们这些互联网用户敲响了一道警钟:真的是时候去重视你的个人隐私了

你的隐私非常值钱

首先我们要先明确这样一个概念。虽然个人隐私和用户数据的承载主体分别为用户个体和收集主体,但这二者所指向的完全是同一件事物——你在网上所体现出的个人信息,这会包括你的浏览习惯,你的登录地点,你使用的浏览设备乃至浏览器和网络类型等等,所有这些由你本人所发起的网络使用行为,都可以看做是你的个人信息。或许对你来说上网只是一种消遣个人时间的手段,这些有意无意透漏出的信息对你来说并没有什么用途,你并不在乎别人会怎么摄取或者使用这些数据,也不会考虑这些被使用的数据将会为你带来怎样的影响——这些信息对你本人而言并没有任何价值。但你要知道,此时你所置身的是信息时代,是具有海量测量收集角度的大数据纪元,数据就是这里的另一种流通等价物,就是这种社会中的财富象征。看一看 「全球市值百强」 名单,你会发现排名前十的企业中有 6 家都为互联网公司。它们既是这个时代的产物,也是由无数互联网用户所一手造就。甚至可以说,没有互联网用户的青睐,就不会有这些年轻的巨头。没有互联网用户的支撑,就不会有这种澎湃的力量。而这些或许尚未察觉的互联网用户所付出的,仅仅只是把 「网络中的自己」 托付给了它们,仅此而已。

所以这时,你知道它有多么重要了么,哪怕是在别人眼中?

而事情离结束还为时尚早。为了让个人信息 「体现出更大的价值」,这些被 「托付」 的数据往往会被多方转手,甚至是交叉组合使用。如不久前被曝光的 LocationSmart,这家依靠用户定位数据为生的企业把它的经营方式运用到了极致。LocationSmart 不仅自己在使用用户的数据营生,同时也在把数据卖给第三方组织(甚至还会 「预防」 用户采取防护措施)。

上图魔兽世界中的一件装备,但互联网用户的信息又何尝不是这种 「归属不明」 写照呢?

在现今的大数据时代,这种案例数不胜数,笔者相信不用再多列举,大部分读者都会拥有相应的体验。明明是在 A 网站浏览了某些内容,但是却会在 B 网站收到了相关的广告推送。互联网在打通了人与人之间的时空阻隔的同时,也为其中个体在节点与节点间的流动提供了可能。但是,是谁为这种流动提供了推力?又是谁允许了这种推力的存在?作为被流动的主体,用户本身是否知道自己所遭受到的一切?他们又可以做出何种选择?这些会有人去在意么?假如这些问题不能带来任何直接收益,至少在笔者看来,无论 GDPR 是否存在,总会有人对这些做法视而不见。

技术无罪

原谅笔者在这里引用,甚至是冒用一位前辈的观点。技术本身不具有任何偏见和价值。但不知怎的,「年度账单」 也好、「学术分析」 也罢,甚至是某些 「无法拒绝的用户使用协议」,到了最后却会变成 「双手沾满鲜血的刽子手」。只不过它们屠戮的不是谁的肉体,而是对于它们自身的信赖。当然,这只是一种理想化的文字描述,在这个句号后面的答案早已写好。广大用户面前出现的通常并不是多选题,在丧失对它们的信任后,大多数人还是会乖乖回到原来的怀抱。

为什么会出现这种现象?

至少在它们出现在我们面前和再次出现在我们面前时是无害的形象,而且也没有太多人会去设想它们会带来多么糟糕(存在于媒体用语或者新闻标题意义上的糟糕)的后果。所以这就是网络世界中所谓的互相信任么?

网络社会也是商业社会的一种形态,这一点毋庸置疑。所以除公益组织外,没有任何个体或者组织有义务或是责任来为另一方提供服务。然而如上文所述,这其中的流通等价物——个人数据往往却会被人视若无物。这种做法不仅仅来自于信息承载者,也会来自于信息收集者。这不是一种麻木的行为,却正朝着麻木的定义方向发展。「如果重新重视这些个人数据,这种做法对我有什么好处?我又要怎也去做?是不是一直都要这么去看待这个问题?」 这些疑问可能仅仅只是为了提高我们对个人隐私意识所要面对的问题中的冰山一角并且足够让人头疼,但在网络出现之前,在短短的半个世纪之前,这些问题似乎根本不存在,所以我们要怎样才能摸索出一条通透的道路?

尤其是在这种规则尚不明确的环境下,我们往往会面对更多的不确定。假如有人能够这么告诉我们 「同意我们的用户条款会为我们带来 20 块钱的潜在收益,会为你带来 5 块钱的统一补偿。」 或者 「我们对你的侵犯行为对你造成了价值 2 毛钱的损害,这是我们的补偿请收下。」 以及 「你收集了我 20KB 的数据,打个八折,收你 40 块」 等等···把所有的行为都用某种可量化的等价物进行体现,双方都可以拥有一个直观的衡量标准,这会是一种好的解决方法么?

当然这只是笔者一个不负责任的臆想,而这种物化的做法在极端的同时也会体现出某种恶劣的价值观。但我们终究需要另一个替代品来替代我们现有的互相信任,因为这种主观的价值评判已经不再会轻易被人们所接受——你还会认为有些人的道歉真的是在道歉么?

生存还是毁灭

按照 GDPR 的描述,这双看不见的手会通过律法手段让它的覆盖空间更加有序。可是它毕竟只是一种法律上的量裁等价物,假如 GDPR 消失,假如这里是 GDPR 所覆盖不到的地区,一切又要靠什么应对?我们是否能去做些什么?我们又会期待那些收集主体做出什么样的举措?

从自身的角度来看,我们交给对方的个人信息是为了让对方为我们提供更加周到的服务,因为这是对我们而言的唯一直接收益与追求。而互联网对我们日常生活起到的改变已经不言而喻,假如它会对我们带来良好的体验提升,我们没理由要去拒绝加入其中。但在信息收集主体这边,怎样获得最大收益才是它们的主要和最终目的,为用户带来体验提升只是达成这一目的的方式之一。在这种方式之外,还有更多不用承担责任的操作空间为它们带来额外的收益,比如用户数据转卖,比如数据的不透明开发。所以双方在选择空间上就已经是不对等的存在。如果突然间不让你使用手机上打开频率最高的那三款软件或者服务,很少会有人能在短时间内找到替代品来弥补这种的依赖落差。那些动辄几十亿月活用户,以及数十分钟日常使用时长的软件巨头们显然在某种程度上和我们捆绑在了一起,并且成为了不被我们所主导的器官。

拒绝使用或者寻找替代品始终只是缓兵之计,而无论出现什么样的后果,最终的承受者也只会是用户本身。所以这里的问题就会变得非常明显,我们要做些什么才能在最大限度上的保护我们自己,保护自己会在这种被动的局面中受到尽可能少的损失?

此前我曾在另一篇文章中提到过这样的观点:假如 Facebook、WhatsApp、微信、QQ 是你无法抗拒的选项,或许你可以把它们看做亚马逊、美团、淘宝以及滴滴出行。当然这种取代并不是功能上的替代,而是在我们自身观念上的一种改观。你的个人隐私在数据库中只是一行行的字符,在数据交易商的记录中只是一条条可以促成成交的记载,尽管你从来不知道是哪些行为哪些信息变成了他们眼中的金矿,至少你还可以从这里认识到自己的价值所在——这个互联网以前所未有的方式和手段把你同诸多未知连接到了一起,它们可能别有用心,也有可能是一种潜在激励,或许这些目的终究无法被我们知悉,但这些与我们交织的依赖方们也是由一个个的个体所构成。它们的做法是把整个网络划分成了我们和它们,而不是我我我我我和它它它它它。所以,反过来,我们也可以让他们变成接近于零的存在。至少,已经存在了这种可能。